ปรึกษาเรื่อง ผลกระทบ พรบ. ที่มีต่อ ธุรกิจเว็บโฮสติ้ง

หลายสัปดาห์มานี้มีเรื่องไม่สบายใจครับ เกี่ยวกับ พรบ.

คือเมื่อก่อนผมคิดว่าแค่เก็บ log ด้วย Directadmin หรือ Plesk ก็น่าจะพอ
จนมาช่วงปลายเดือนที่แล้ว หลังจากได้คุยกับเพื่อนที่อยู่ในแวดวงไอซีที ก็ยิ่งไม่ค่อยสบายใจ
เพราะเค้าบอกว่า การเก็บ log ไว้ในเครื่องเดียวกัน นั้น มันขัดแย้งกับข้อกฎหมายที่ว่า log ต้องเชื่อถือได้ (ไม่มีใครแอบเข้าไปแก้ไขหรือลบได้)
จึงต้องมีการเก็บแบบแยกเครื่อง

ผมอ่านจากชีทที่เพื่อนให้มา มีช่วงหนึ่งเขียนว่า

จะเห็นได้ว่าผู้ใช้บริการคงจะอยู่เฉยไม่ได้แล้ว ควรจะจัดหาอุปกรณ์ฮาร์ดแวร์และซอฟท์ แวร์มาใช้ในการ
เก็บ Log ตามข้อกฏหมาย โดยอุปกรณ์ที่ใชควรมีการจัดเก็บ Log ในลักษณะ “Centralized Log Server” ที่
สามารถป้องกันการแก้ไขจากแฮกเกอร์หรือการแก้ไขจากผู้ ดู แลระบบเอง ข้อมูลจราจร หรือ Log ที่เกิดขึ้นจาก
อุปกรณ์ต่างๆ ในระบบควรอยู่ในรูปแบบข้อมูลดิบ (Raw Data) ที่ถูกป้องกั นจากการแก้ไขเพราะข้อมูลจราจร
ดังกล่าวจะถูกนําไปใช้ในการพิจารณาคดีในขั้นศาล ดังนั้น ข้อมูลจราจร (Log) ควรที่จะมีความถูกต้องแน่นอน
ตามจริงและสามารถระบุตัวตน (Accountability) ของผู้กระทําความผิดได้โดยไม่มีข้อโต้แย้งในชั้นศาล

อยากให้ช่วยกันตีความ คำที่ว่า “Centralized Log Server” ที่
สามารถป้องกันการแก้ไขจากแฮกเกอร์หรือการแก้ไขจากผู้ ดู แลระบบเอง

ว่าต้องเก็บแยกเครื่องหรือไม่ครับ

ถ้าจะเอาให้มันตรงตามที่ พรบ. ระบุเป่ะเลย ก็ต้องอย่างนั้นแหละครับ

แต่ในทางทฤษฎีแล้ว ไม่มีทางทำได้ 100% เช่นกัน

เพราะไม่ว่าจะ Hardware หรือ Software ถ้า Hack เข้าไปแก้ไขข้อมูลก็จบเหมือนกัน

ผมว่างานนี้จะต้องยกให้เป็นภาระของ 3th Party ที่มีความน่าเชือถือไปซะแทน

ประโยชน์ในการเก็บ log เป็นของภาครัฐทั้งหมด
ฉะนั้นภาครัฐ ควรเป็นผู้จัดตั้งและดูแล Centralized Log Server
เพื่อให้ข้อมูลนั้นบริสุทธ์จริง ๆ

ผวกเรา ผู้ให้บริการ คงต้องเหนือย กับการจัดการ ให้ตรงกับ พรบ คอมฯ อีกเยอะเลยครับ

หลาย ๆ ท่านคงมีต้นทุนในการดำเนินการขึ้นพอสมควรครับ

ก็รวมตัวกันซื้ออุปกรณ์เก็บ log กันเลย แต่เห็นราคาแล้ว เศร้าครับ บริษัทที่ผมทำงานอยู่เฉพาะซื้ออุปกรณ์เก็บ Log ก็ ราคา 4 ล้านกว่าๆ แล้ว
หรือไม่ผมว่าซื้อ log ของ saran มาใช้กันพลางๆ ก่อนก็ได้มั้ง ราคา หมื่นต้นๆ ก็มีนะ
:blink:

ครับ ถ้าอยากได้ข้อมูล ที่ไม่มีการแก้ไข รัฐต้องทำเอง ถึงจะ 100 %

[quote author=thaidhost link=topic=11944.msg116398#msg116398 date=1213930004]
ครับ ถ้าอยากได้ข้อมูล ที่ไม่มีการแก้ไข รัฐต้องทำเอง ถึงจะ 100 %

บีบบังคับผู้ให้บริการมากมาย

ในทางปฎิบัติทำไม่ได้หรอกครับ ทั้งผู้ให้บริการเอง ทั้งเจ้าหน้าที่ภาครัฐเอง มีความรู้ความเข้าใจกับทุก log หรือเปล่าก็ไม่รู้
ทำเป็นพวกร่างทรงไปได้ นั่งเทียนออกกฎหมาย

เก็บที่เราเองมันไม่น่าเชขื่อถือเหรอ

ไม่น่าเชือ่ถือหรอกค่ะ

ยิ่งถ้าเราต้องคดี ต้องมีเจ้าหน้าที่พิสูจน์หลักฐานด้วย
เชือ่ผุ้ที่ถูกแต่งตั้งแล้วเท่านั้นค่ะ

ถ้างั้นคงต้องแต้งตั้งคณะกรรมการเพื่อตั้งองค์กรอิสระที่ปราศจาคอำนาจใดๆ มาควบคุม

ถ้าเราเก็บเองแล้วไม่น่าชื่อถือ คงต้องออกกฎหมายลูกมาอีกหลายอันละครับ เพื่อมาบอกว่าคนที่น่าเชื่อถือเป็นใคร มีลักษณะอย่างไร มากจากไหน มีวาระการทำงานกี่ปี สงสัยคงไม่ได้ใช้จริงละครับ พรบ. นี้ นี่แค่ประโยคเดียวนะครับ ยังถกไม่จบเลย

ถ้าเร็วที่สุดต้องให้ใครไปฟ้องต่อศาลเพื่อตีความกันใหม่ บ้านเราไม่ได้มองไปที่ “เจตนารมณ์” แต่ไปดูกันแบบศรีธนญชัย ที่ต้องแป๊ะๆ ไร้ข้อกังขา มันมี พรบ. อีกเกินกว่าครึ่งที่เอามาบังคับไม่ได้ เพราะเราเฝ้ารอ บทบัญญัติที่ไร้ที่ติ ที่ไม่มีทางเกิดขึ้น

ไม่ใช่หรอกค่ะ

มันอย่างนี้ ถ้าเขากำหนดว่าให้เก็บแบบไหนมาแบบชัดเจนเลย ซึ่งแพง (ตาย อ๊วกสำหรับผู้ให้บริการก็คงจะลดๆๆ หรือแต่ใหญ่ ๆ ) อันนั้นก็เอามาใช้ได้ ถ้าทำตามกำหนดแล้ว

เหมือนอย่างการตรวจสอบ DNA ก็ต้องเอาหน่วยงานรัฐมารองรับไงคะ
เรื่องการรับมรดก จะมีการตรวจเช็ค เช่น แม้ว่าคุณพ่อจะไปอยู่กินแบบไม่แต่งคือลูกเมียน้อยประมาณนั้นแต่รับกับคนทั่วไปนะ แสดงออกชัดเจนแต่ไม่ได้ไปรับรองตามกฏหมาย ชาวบ้านรู้ว่าใช่ลูก เห็นกันมาตลอด แต่เมื่อปุ่พ่อตาย ยกให้ลูกคือพ่อเด็ก แต่พ่อเด็กดันโดนจำกัดสิทธิ์ฐานไม่สมควร เพราะดันทำคดีกับพ่อตัวเองคือปู่ จะโดนจำกัดสิทธิ์การรับมรดกตามกฏหมาย แต่ไม่ตัดสิทธิ์ผู้สืบสันดานคือหลาน
แต่หลานดันไม่มีหลักฐานชัดเจน เพราะพ่อไม่ได้ไปรับรองตามกฏหมายไว้แต่แรก มีญาติยื่นคัดค้านการเป็นสายเลือด ก็ต้องมีการตรวจสอบให้ถูก และตรวจแล้วก็ต้องไปเซ็นต์รับให้ถูกต้อง ถึงจะได้รับมรดกแทนพ่อตัวเอง

จะให้ตัวเองยืนยันตัวเองคงไม่ได้ค่ะ

งงไหม

แล้วแบบนี้ ใครจะมายืนยันให้ใครได้ละครับ คุณวิ

นั่นน่ะสิครับ ผมถึงบอกว่า สงสัยต้องมีองค์กรอิสระมาเป็นองค์กรที่คอยตรวจสอบทั้งฝ่ายรัฐและฝ่ายผู้ประกอบการ

อย่าลืมนะครับ แม้ว่าจะโดยนไปให้ฝ่ายรัฐเก็บล้อก ก็ไม่ได้หมายความว่า ข้อมูลนั้นจะเชื่อถือได้

แล้วต่างประเทศเค้าทำกันยังไงครับ แต่เคยอ่านใน policy ของเค้า เค้าบอกว่า จะส่ง log ให้ FBI หากมีการร้องขอมา นั่นแสดงว่า ผู้ประกอบการเป็นฝ่ายเก็บนี่ครับ

เชื่อเถอะมันต้องเอาไปตรวจสอบอีกทีว่า นำมาเป็นหลักฐานได้แค่ไหน

รัฐออก พรบ. ฉบับนี้มา เปิดโอกาสให้พวก 3rd party มีช่องทางหากิน …

[quote author=siamwebhost link=topic=11944.msg116448#msg116448 date=1213948190]
รัฐออก พรบ. ฉบับนี้มา เปิดโอกาสให้พวก 3rd party มีช่องทางหากิน …

[quote author=WebHostDD link=topic=11944.msg116443#msg116443 date=1213946710]
แล้วแบบนี้ ใครจะมายืนยันให้ใครได้ละครับ คุณวิ

:smash: :smash: :smash: :smash: